Plus de 8 000 domaines et 13 000 sous-domaines appartenant \u00e0 des marques et institutions l\u00e9gitimes ont \u00e9t\u00e9 pirat\u00e9s dans le cadre d’une architecture de distribution sophistiqu\u00e9e destin\u00e9e \u00e0 la prolif\u00e9ration du spam et \u00e0 la mon\u00e9tisation des clics.<\/p>\n
Guardio Labs suit l’activit\u00e9 malveillante coordonn\u00e9e, qui se poursuit depuis au moins septembre 2022, sous le nom de SubdoMailing. Les e-mails vont des \u00ab alertes de livraison de colis contrefaits au phishing pur et simple pour les informations d’identification de compte \u00bb.<\/p>\n
La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 isra\u00e9lienne a attribu\u00e9 la campagne \u00e0 un acteur mena\u00e7ant qu’elle appelle ResurrecAds<\/strong>qui est connu pour ressusciter des domaines morts ou affili\u00e9s \u00e0 de grandes marques dans le but final de manipuler l’\u00e9cosyst\u00e8me de la publicit\u00e9 num\u00e9rique \u00e0 des fins n\u00e9fastes.<\/p>\n “‘ResurrecAds’ g\u00e8re une infrastructure \u00e9tendue englobant un large \u00e9ventail d’h\u00f4tes, de serveurs SMTP, d’adresses IP et m\u00eame de connexions FAI r\u00e9sidentielles priv\u00e9es, ainsi que de nombreux noms de domaine suppl\u00e9mentaires”, expliquent les chercheurs en s\u00e9curit\u00e9 Nati Tal et Oleg Zaytsev. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n En particulier, la campagne “exploite la confiance associ\u00e9e \u00e0 ces domaines pour faire circuler chaque jour des millions de spams et d’e-mails de phishing malveillants, utilisant astucieusement leur cr\u00e9dibilit\u00e9 et leurs ressources vol\u00e9es pour contourner les mesures de s\u00e9curit\u00e9”.<\/p>\n Ces sous-domaines appartiennent ou sont affili\u00e9s \u00e0 de grandes marques et organisations telles que ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF et VMware, entre autres.<\/p>\n La campagne se distingue par sa capacit\u00e9 \u00e0 contourner les blocages de s\u00e9curit\u00e9 standard, le corps entier \u00e9tant con\u00e7u comme une image permettant d’\u00e9chapper aux filtres anti-spam textuels, un clic initiant une s\u00e9rie de redirections vers diff\u00e9rents domaines.<\/p>\n “Ces redirections v\u00e9rifient le type de votre appareil et votre emplacement g\u00e9ographique, conduisant \u00e0 un contenu adapt\u00e9 pour maximiser les profits”, ont expliqu\u00e9 les chercheurs.<\/p>\n “Cela peut aller d’une publicit\u00e9 ennuyeuse ou d’un lien d’affiliation \u00e0 des tactiques plus trompeuses comme des quiz frauduleux, des sites de phishing ou m\u00eame un t\u00e9l\u00e9chargement de malware visant \u00e0 vous escroquer plus directement votre argent.”<\/p>\n Un autre aspect crucial de ces e-mails est qu\u2019ils sont \u00e9galement capables de contourner le Sender Policy Framework (FPS<\/a>), une m\u00e9thode d’authentification de courrier \u00e9lectronique con\u00e7ue pour emp\u00eacher l’usurpation d’identit\u00e9 en garantissant qu’un serveur de messagerie est autoris\u00e9 \u00e0 envoyer des courriers \u00e9lectroniques pour un domaine donn\u00e9.<\/p>\n Il ne s’agit pas seulement de SPF, car les e-mails transmettent \u00e9galement DomainKeys Identified Mail (DKIM<\/a>) et l’authentification, la cr\u00e9ation de rapports et la conformit\u00e9 des messages bas\u00e9s sur le domaine (DMARC<\/a>) v\u00e9rifie que les messages ne sont pas marqu\u00e9s comme spam.<\/p>\n Dans un exemple d’e-mail d’avertissement de stockage cloud trompeur mis en \u00e9vidence par Guardio, le message provenait d’un serveur SMTP \u00e0 Kiev, mais \u00e9tait signal\u00e9 comme \u00e9tant envoy\u00e9 depuis Return_UlKvw@marthastewart.msn.com.<\/p>\n Un examen plus approfondi de l’enregistrement DNS de marthastewart.msn.com a r\u00e9v\u00e9l\u00e9 que le sous-domaine est li\u00e9 \u00e0 un autre domaine (msnmarthastewartsweeps[.]com) au moyen d’un Enregistrement CNAME<\/a>une technique d’alias qui a d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9e par les soci\u00e9t\u00e9s de technologie publicitaire pour contourner le blocage des cookies tiers.<\/p>\n “Cela signifie que le sous-domaine h\u00e9rite de l’int\u00e9gralit\u00e9 du comportement de msnmarthastewartsweeps[.]com, y compris sa politique SPF”, ont d\u00e9clar\u00e9 les chercheurs. “Dans ce cas, l’acteur peut envoyer des e-mails \u00e0 qui il veut comme si msn[.]com et leurs exp\u00e9diteurs approuv\u00e9s ont envoy\u00e9 ces e-mails\u00a0!”<\/p>\n Il convient de souligner ici que les deux domaines \u00e9taient l\u00e9gitime et bri\u00e8vement actif<\/a> \u00e0 un moment donn\u00e9 en 2001, avant d’\u00eatre laiss\u00e9s \u00e0 l’abandon pendant 21 ans. Ce n’est qu’en septembre 2022 que msnmarthastewartsweeps[.]com \u00e9tait enregistr\u00e9 en priv\u00e9 aupr\u00e8s de Namecheap.<\/p>\n Dans d\u2019autres, le sch\u00e9ma de d\u00e9tournement implique que les acteurs de la menace recherchent syst\u00e9matiquement des sous-domaines oubli\u00e9s depuis longtemps avec des enregistrements CNAME de domaines abandonn\u00e9s, puis les enregistrent pour en prendre le contr\u00f4le.<\/p>\n La prise de contr\u00f4le de CNAME peut \u00e9galement avoir de graves cons\u00e9quences lorsque de tels sous-domaines r\u00e9put\u00e9s sont saisis pour h\u00e9berger de fausses pages de destination de phishing con\u00e7ues pour r\u00e9cup\u00e9rer les informations d’identification des utilisateurs. Cela dit, rien ne prouve que les sous-domaines pirat\u00e9s aient \u00e9t\u00e9 utilis\u00e9s \u00e0 cette fin.<\/p>\n Guardio a d\u00e9clar\u00e9 avoir \u00e9galement trouv\u00e9 des cas o\u00f9 le Enregistrement DNS SPF<\/a> d’un domaine connu contient des domaines abandonn\u00e9s associ\u00e9s \u00e0 des services de messagerie ou de marketing obsol\u00e8tes, permettant ainsi aux attaquants de s’emparer de ces domaines, d’injecter leurs propres adresses IP dans l’enregistrement et, finalement, d’envoyer des e-mails au nom du nom de domaine principal.<\/p>\n Dans le but de contrer la menace et de d\u00e9manteler l’infrastructure, Guardio a mis \u00e0 disposition un V\u00e9rificateur de courrier Subdo<\/a>un site Web qui permet aux administrateurs de domaine et aux propri\u00e9taires de sites de rechercher des signes de compromission.<\/p>\n “Cette op\u00e9ration est m\u00e9ticuleusement con\u00e7ue pour utiliser ces actifs \u00e0 mauvais escient pour distribuer diverses ‘publicit\u00e9s’ malveillantes, dans le but de g\u00e9n\u00e9rer autant de clics que possible pour ces clients du ‘r\u00e9seau publicitaire'”, ont indiqu\u00e9 les chercheurs.<\/p>\n \u00ab\u00a0Arm\u00e9 d’une vaste collection de domaines, de serveurs et d’adresses IP r\u00e9put\u00e9s compromis, ce r\u00e9seau publicitaire navigue habilement \u00e0 travers le processus de propagation des e-mails malveillants, en basculant de mani\u00e8re transparente et en sautant entre ses actifs \u00e0 volont\u00e9.\u00a0\u00bb<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Plus-de-8-000-domaines-de-marques-de-confiance-detournes.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n